Geum.ru

Конспект лекций По дисциплине «Свети эвм» Для специальности

Вид материалаКонспект

Содержание


10.4 Безопасность IP сети
10.4.2 Межсетевой экран (firewall)
Сервера прикладного уровня — б
Сервера уровня соединения — с
§11. Internet
Подобный материал:
1   ...   9   10   11   12   13   14   15   16   17

10.4 Безопасность IP сети

10.4.1 Проблемы безопасности стека TCP/IP


Протоколы семейства IP являются основой построения сетей intranet и глобальной сети Internet. Несмотря на то, что разработка TCP/IP финансировалась Министерством обороны США, TCP/IP не обладает абсолютной защищенностью и допускает различные типы атак.

Под атакой понимают любые действия программно-административного характера, связанные с использованием специфики протоколов (в нашем случае стека TCP/IP) и направленные на нарушение работы сети или деструкции любой программно-аппаратной ее части.

Для того, чтобы предпринять подобные атаки, злоумышленник («хакер») должен обладать контролем над одной из систем, подключенной к Internet. Это возможно, например, в случае, когда он взломал какую-то систему или использует собственный компьютер, имеющий соединение с Internet (для многих атак достаточно иметь PPP-доступ).

Атаки бывают физические атаки (например, непосредственный съем информации через ethernet или перехват трафика между радио-мостами), и связанные с программной реализацией.

Программные атаки на TCP/IP можно разделить на два вида:
  1. пассивные
  2. активные.

Более подробно вопросы безопасности TCP/IP сетей рассмотрены в [].

10.4.2 Межсетевой экран (firewall)


Брандмауэр (межсетевой экран, firewall) - это система или комбинация систем, позволяющие разделить сеть на две или более частей и реализовать набор правил, определяющих условия прохождения пакетов из одной части в другую (см рис.20). Как правило, эта граница проводится между локальной сетью предприятия и INTERNET, хотя ее можно провести и внутри локальной сети предприятия. Брандмауэр таким образом пропускает через себя весь трафик. Для каждого проходящего пакета брандмауэр принимает решение пропускать его или отбросить. Для того чтобы брандмауэр мог принимать эти решения, ему необходимо определить набор правил.



Рис. 9 Модель работы брандмауэра

Брандмауэры бывают программные и аппаратные

Все брандмауэры можно разделить на три типа:

пакетные фильтры (packet filter)

сервера прикладного уровня (application gateways)

сервера уровня соединения (circuit gateways)

Все типы могут одновременно встретиться в одном брандмауэре.

Пакетные фильтры — брандмауэры с пакетными фильтрами принимают решение о том, пропускать пакет или отбросить, просматривая IP-адреса, флаги или номера TCP портов в заголовке этого пакета.

Сервера прикладного уровня — брандмауэры с серверами прикладного уровня используют сервера конкретных сервисов - TELNET, FTP и т.д. (proxy server), запускаемые на брандмауэре и пропускающие через себя весь трафик, относящийся к данному сервису.

Сервера уровня соединения — сервер уровня соединения представляет из себя транслятор TCP соединения. Пользователь образует соединение с определенным портом на брандмауэре, после чего последний производит соединение с местом назначения по другую сторону от брандмауэра. Во время сеанса этот транслятор копирует байты в обоих направлениях, действуя как провод. Как правило, пункт назначения задается заранее, в то время как источников может быть много (соединение типа один - много). Используя различные порты, можно создавать различные конфигурации. Такой тип сервера позволяет создавать транслятор для любого определенного пользователем сервиса, базирующегося на TCP, осуществлять контроль доступа к этому сервису, сбор статистики по его использованию.

Более подробно — см []

§11. Internet


Прежде чем перейти к рассмотрению конкретных сервисов Интернет, надо описать некоторые категории, использующиеся при оценке различных серви­сов и их применимости к тем или иным задачам. Конечно, для того, чтобы лучше представить себе схему передачи информации в Интернет, полезно было бы классифицировать сервисы, разделив их на группы в соответствии с каким-либо набором критериев оценки. Однако по ряду причин нельзя ввести сколько-нибудь жесткую или определенную классификацию. Основная причина — уникальность каждого сервиса и одновременная неотделимость его от остальных. Каждый сервис характеризуется свойствами, часть которых объединяет его с одной группой сервисов, а другая часть с другой группой.

Наиболее подходящим для классификации сервисов Интернет является деление на сервисы интерактивные, прямые и отложенного чтения. Эти группы объединяют сервисы по большому числу признаков. Сервисы, относящиеся к классу отложенного чтения, наиболее распространены, наиболее универсальны и наименее требовательны к ресурсам компьютеров и линиям связи. Основным признаком этой группы является та особенность, что запрос и по­лучение информации могут быть достаточно сильно (что, вообще говоря, ограничивается только актуальностью информации на момент получения) разделены по времени. Сюда относится, например, электронная почта.

Сервисы прямого обращения характерны тем, что информация по запросу возвращается немедленно. Однако от получателя информации не требуется немедленной реакции. Сервисы, где требуется немедленная реакция на полу­ченную информацию, т.е. получаемая информация является, по сути дела, запросом, относятся к интерактивным сервисам. Для пояснения вышесказан­ного можно заметить, что в обычной связи аналогами сервисов интерактив­ных, прямых и отложенного чтения являются, например, телефон, факс и письменная корреспонденция.